warobushek
Новичок
Здравствуйте, такая ситуация
На сайте2, пользователь вводит логин и пароль для сайта2.
С сайта 2 он производил регистрацию на сайте1. ( на сайте1 сохранен кеш(секретное слово+ид_на_сайте_2+доп. информация) ). Пароли хранятся только на сайте1 (куда идет вход)
Нужно чтобы пользователь, переходящий по ссылке с сайта 2 на сайт 1, сразу залогинивался на сайте 1 без ввода пароля.
Но вот как проверить достоверность, что переход идет именно с сайта 2 (что гарантирвало бы, что нажимает именно тот пользователь которого нужно пустить).
Ведь теоретически можно засниферить url, по которому переходит пользователь и потом, подделывая HTTP_REFERER входить под его учеткой на сайт1.*
*это если оставить в открытом виде
Не подскажете, какие могут быть способы входа на сайт1 с сайта2?
РЕШЕНО
создается 2 ключа на сайте 1,
сайт 2 в ответ на авторизацию запрашивает у сайта 1 второй ключ и если он совпадает - авторизует. Сайт 1 после факта запроса удаляет пару ключей из памяти и авторизоваться повторно уже нельзя.
Т.е. каждая авторизация уникальна. Дажен если засниферишь, воспользоваться уже не сможешь. Более мягкий вариант - запоминать IP авторизатора. Тогда человек с этого IP может авторизоваться сколько угодно.
На сайте2, пользователь вводит логин и пароль для сайта2.
С сайта 2 он производил регистрацию на сайте1. ( на сайте1 сохранен кеш(секретное слово+ид_на_сайте_2+доп. информация) ). Пароли хранятся только на сайте1 (куда идет вход)
Нужно чтобы пользователь, переходящий по ссылке с сайта 2 на сайт 1, сразу залогинивался на сайте 1 без ввода пароля.
Но вот как проверить достоверность, что переход идет именно с сайта 2 (что гарантирвало бы, что нажимает именно тот пользователь которого нужно пустить).
Ведь теоретически можно засниферить url, по которому переходит пользователь и потом, подделывая HTTP_REFERER входить под его учеткой на сайт1.*
*это если оставить в открытом виде
Не подскажете, какие могут быть способы входа на сайт1 с сайта2?
РЕШЕНО
создается 2 ключа на сайте 1,
сайт 2 в ответ на авторизацию запрашивает у сайта 1 второй ключ и если он совпадает - авторизует. Сайт 1 после факта запроса удаляет пару ключей из памяти и авторизоваться повторно уже нельзя.
Т.е. каждая авторизация уникальна. Дажен если засниферишь, воспользоваться уже не сможешь. Более мягкий вариант - запоминать IP авторизатора. Тогда человек с этого IP может авторизоваться сколько угодно.